نظرة على أنظمة أدارة المعلومات الأمنية SIEM

هل سألت نفسك يوما ماهو شرح SIEM ؟
كيف يمكن للشركات الكبيرة أن تراقب أنظمتها من خوادم وأجهزة شبكات وحماية بشكل منظم بالرغم من تنوع هذه الأجهزة والأنظمة؟

لو فرضنا مثلا بأن شركة من الشركات الكبيرة لديها شبكة تحتوي على خوادم تعمل بأنظمة تشغيل مختلفة من خوادم windows وخوادم Linux بتوزيعاتها المختلفة. يمكن أن يكون لكل من هذه الخوادم دور خاص به, فمثلا قد يكون أحد هذه الخوادم يعمل كخادم ويب لإستضافة المواقع الإلكترونية وتطبيقات الويب الخاصة بالشركة وقد يكون آخر يعمل كخادم DNS وآخر كخادم Proxy وغيرها من الأدورا المختلفة.

​

بالطبع فإن الشركات الكبيرة لديها العديد من الأنظمة وهذه الأنظمة ستقوم بتخزين البيانات والإستعلام عنها وإجراء العمليات المختلقة عليه, فهذا يعني بأنه سيكون لديها خوادم خاصة تعمل كخوادم لقواعد البيانات (DB Servers).

أيضا قد يكون للشركة العديد من أجهزة الحماية سواء الجدران النارية (Firewalls) أو أنظمة كشف ومنع عمليات التسسل والإختراق (IPS & IDS) أو حتى أجهزة ربط الشبكة المختلفة من routers و Switchs وغيرها.

لكل من هذه الأنظمة والخدمات والأجهزة طريقة محددة لتخزين ملفات السجلات(Log files) وهذا الأمر يجعل عملية مراقبة هذه الملفات أمر مرهق كثيرا وصعب جدا, فكل منها له طريقته الخاصة والمختلفة لحفظ البيانات في هذه الملفات بالإضافة الى إختلاف البيانات التي يتم حفظها.

لذا ظهرت الحاجة لأن يكون هنالك نظام مركزي متخصص يتم فيه تجميع الأحداث (Events) والتنبيهات الأمنية (Security Alerts) من مختلف الأجهزة والأنظمة والتقنيات الموجودة في البنية التحتية الخاصة بالشركات أو الجهات وذلك لمراقبتها وتحليلها من مكان واحد, الأمر الذي يسهل عملية مراقبة الشبكة بكل ما فيها من أجهزة وأنظمة وتحديد اي أعمال مشبوهة قد تحدث داخلها وربط السجلات من أكثر من جهاز وتقنية مع بعضها البعض لتحديد طبيعة التهديد أو الهجمة التي تحصل أو حصلت للشركة.

هذا النظام المركزي يسمى SIEM (Security information and event management) أو “نظام المعلومات الأمنية وإدارة الأحداث” والذي يمكن من خلاله مراقبة ومتابعة جميع الأمور داخل البنية التحتية مثل:

• أنظمة التشغيل (Windows, Linux, ….etc)
• الجدران النارية (Firewall)
• أنظمة كشف ومراقبة المتسللين والدخلاء (IPS & IDS)
• أنظمة كشف ومراقبة المتسللين والدخلاء (IPS & IDS)
• مكافحات الفايروسات (Antivirus)
• أجهزة الشبكات (Switchs, Routers, Access Points, ….etc)
• قواعد البيانات (DB Servers)
• الخوادم بأنوعها (HTTP, Application,DNS, DHCP,……etc)
• وغيرها الكثير الكثير من الخدمات والأنظمة والتقنيات.

​

الـ SIEM هو عبارة عن مجموعة من الأدوات تعمل معا لتقديم نظرة شاملة لجميع الأمور التي تحصل في بنية الشبكة التحتية لدى الشركة أو الجهة. يمكن أن يكون على شكل برنامج (Software) أو جهاز (Appliance) أو على شكل خدمة (Service) يتم إدارتها من قبل شركة أخرى.

يعتمد مبدأ الـ SIEM الأساسي على جمع البيانات الأمنية من جميع الأجهزة والتقنيات والأنظمة الموجودة في الشبكة في قاعدة بيانات واحدة بحيث يسهل عرضها ومتابعتها من قبل الشخص او الفريق المسؤول لمتابعة هذه الأحداث وتحليلها لتحديد ما هو مألوف منها وما هو غير مألوف.

​

يجمع هذا النظام نظامين أساسين وهما :

• نظام إدارة أمن المعلومات أو Security Information Management : حيث يعمل هذا النظام على تجميع البيانات الأمنية من مختلف الأجهزة والتقنيات والأنظمة داخل البنية التحتية للشبكة وتخزينها في قاعدة بيانات مركزية موحدة, ويعمل أيضا على استرجاع البيانات لفترات طويلة من قاعدة البيانات وتحليلها وتصدير التقارير منها.
• نظام إدارة الأحداث الامنية أو Security Event Management : حيث يعمل هذا النظام على تحليل ومراقبة المعلومات بوقت قياسي (real-time) ويعمل أيضا على ربط الأحداث من الأجهزة والأنظمة المختلفة معا ليقوم بإبلاغ وتنبيه الشخص أو الفريق المسؤول عن متابعة الأحداث الأمنية لإتخاذ الإجراءات الدفاعية المناسبة بشكل سريع.

كيف يعمل نظام الـ SIEM ؟؟

​

كما قلنا فإن الـ SIEM هو عبارة عن مجموعة من الأدوات التي تعمل مع بعضها البعض لتقديم نظرة شاملة حول الوضع الأمني للبنية التحتية للجهة او الشركة, وبالتالي فإن لكل أداة من هذه الأدوات وظيفة خاصة ومحددة تعمل بها.

لذا, دعونا نتحدث بشكل مبسط عن المنهجية التي يعمل بها ها النظام, حيث يمكن تقسيم المنهجية التي يعمل بها الى خمسة مراحل وهي كالآتي :

المرحلة الأولى : مرحلة تجميع السجلات والأحداث (Event & Log Collection)
وهي عبارة عن المرحلة التي يتم فيها تجميع جميع الأحداث والتنبيهات الأمنية من جميع الأجهزة والأنظمة والتقنيات والخدمات المتوفرة والمتواجدة في البنية التحتية للجهة بشكل أوتوماتيكي. ويتم ذلك عن طريق تثبيت بعض المحركات الخاصة التي تعمل على تجميع هذه الأمور وارسالها للـ SIEM ليتم تخزينها في قاعدة بياناته الخاصة.

المرحلة الثانية : مرحلة التصنيف السجلات والأحداث (Normalization)
وهي عبارة عن المرحلة التي يتم فيها تصنيف الأحداث والتنبيهات الأمنية وتحديد مصدر هذه الأحداث سواء من قاعدة البيانات أم من خوادم الويب أو غيرها من خدمات وتقنيات وأنظمة داخل البنية التحتية.

المرحلة الثالثة : مرحلة تحليل السجلات والأحداث (Analysis)
وهي عبارة عن المرحلة التي يقوم فيها الشخص أو الفريق الأمني المسؤول في الجهة بوضع قواعد خاصة يتم تنفيذها عند حدوث حدث أو تنبيه أمني محدد. فمثلا لو كان هنالك حدث أمني معين لتجاوز محاولات الدخول الخاطئة على جهاز أو خدمة معينة داخل الشبكة لعدد المرات المسموح بها, سيقوم الفريق الأمني بتحديد إجراء معين سيتم إتخاذه مثل إرسال بريد إلكتروني يصف الأمر بشكل مفصل.

المرحلة الرابعة : مرحلة الترابط والإستنتاج (Correlation)
وهي المرحلة التي يقوم بها الـ SIEM بربط الأحداث الأمنية التي تم تجميعها من مختلف الأمور داخل البنية التحتية مع بعضها البعض وتحديد العلاقات فيما بينها وذلك لتحديد الآلية التي تمت بها الهجمة أو محاولة الإختراق أو عملية الإختراق إن حصلت لتوفير الوقت على الفريق الأمني لدى الجهة.

المرحلة الخامسة : مرحلة إصدار التقارير (Reporting)
وهي المرحلة التي يتم فيها تزويد الفريق الأمني في الشركة أو الجهة بتقرير وافي حول جميع الأحداث الامنية التي حصلت داخل الشبكة والبنية التحتية, مع تزويدهم بتوصيات وإجراءات مقترحة لتنفيذها بالإضافة للعديد من الأمور والتفاصيل الأخرى.

من هنا يظهر لنا بأن أنظمة الـ SIEM تتمتع بالقدرات التالية :

• تجميع البيانات أو Data aggregation : وهي القدرة على إدارة البيانات المجمعة من الأجهزة و الخوادم و قواعد البيانات والتطبيقات و الأنظمة المختلفة وتوحيد هذه البيانات لمساعدة الفريق الأمني المختص في الشركة على تجنب فقدان الأحداث غير المألوفة.
• الارتباط أو Correlation : وهي القدرة على ربط الأحداث المجمعة والبحث عن السمات المشتركة فيما بينها وتحويلها الى معلومات مفيدة لتسهل فهم الأمور التي حصلت في الشبكة من قبل الفريق الامني لدى الجهة أو الشركة.
• التنبيه أو Alerting : وهي قدرتها على إرسال التنبيهات المختلفة بعد تحليل الاحداث الأمنية لإعلام الفريق الامني بالنتائج, حيث يمكن إستعراضها من لوحة القيادة أو إرسالها عبر البريد الإلكتروني أو عبر الرسائل القصيرة SMS.
• لوحة القيادة أو Dashboards : وهي القدرة على تحويل البيانات التي تم تجميعها وتحليلها لمخططات مرئية لتعطي الفريق الامني القدرة على رؤية الأحداث والأنماط وتحديد الأحداث المشبوهة بشكل سريع.
• الامتثال أو Compliance : وهي القدرة على تجميع البيانات وإنتاج التقارير بشكل أوتوماتيكي ليتم استخدامها كمراجع الامتثال للتأكد من أن الجهة تطبق سياسات الحوكمة والامتثال الأمنية.
• الاحتفاظ أو Retention : وهي القدرة على تخزين بعض البيانات على مدى طويل وتسهيل الارتباط بالأحداث الأمنية مع مرور الوقت.
• التحليل أو Forensic Analysis : وهي قدرتها على البحث في السجلات من أجهزة مختلفة, الأمر الذي يقلل الحاجة إلى البحث وتجميع آلاف السجلات.